Facebook admitió que sus 2.200 millones de usuarios tuvieron sus datos públicos expuestos a 'malos actores' mientras la función de búsquedas de personas mediante su correo electrónico o número telefónico estaba habilitada.
Tras el escándalo de privacidad de Cambridge Analytica, Facebook estuvo trabajando en diferentes aspectos para preservar la seguridad de la información de su comunidad. Es en ese contexto que se han ido develando diferentes falencias.
Así, el director de tecnología de Facebook, Mike Schroepfer, explicó que solo hasta el martes, “las personas podían ingresas el número de teléfono o la dirección de correo electrónico de otra personas en el buscador de Facebook para encontrarlos”.
Esta función permitía encontrar a la persona exacta con la que deseabas contactar evitando a los homónimos que puedan aparecer si buscabas con solo su nombre. Pero esta función también era aprovechada por 'raspadores de datos'.
“Actores maliciosos han abusado de estas características para raspar información de perfiles públicos mediante la búsqueda de números de teléfono o direcciones de correo electrónico que ya tienen a través del buscador o del sistema de recuperar la cuenta”, dijo Schroepfer en un comunicado.
“Dada la escala y la sofisticación de la actividad que hemos visto, creemos que la mayoría de la gente que hay en Facebook podría haber tenido expuesto su perfil de esta manera. Así que ahora hemos deshabilitado esta característica. También estamos haciendo cambios en la recuperación de la cuenta para reducir el riesgo de raspado aquí también”.
El sitio Gizmodo explica que esto se daba si, por ejemplo, un hacker compra una base de datos de números de teléfono en la dark web, estos le son útiles por sí solos, pero sirven más si se le pueden añadir más datos, como saber a quién pertenecen, para entrar a sistemas individuales o para cometer fraudes.
Así, utilizaban la barra de búsquedas de Facebook para hallar un propietario de uno de los números de teléfono para apropiarse de sus datos públicos como estado civil email, fecha de cumpleaños, ubicación, nombres de familiares y más. El proceso podría automatizarse para obtener enormes recompensas con poco esfuerzo.
Durante una sesión de preguntas y respuestas, Mark Zuckerberg dijo el pasado miércoles que Facebook contaban con algunas protecciones básicas para evitar este tipo de automatización, pero “sí vimos una cantidad de personas que usaban miles de direcciones IP, cientos de miles de direcciones IP para evadir el sistema limitador, y no era un problema para el que realmente tuviéramos una solución”.
“Creemos que la mayoría de la gente en Facebook podría haber tenido su perfil público raspado”, dijo Zuckerberg. Recién esta semana se supo gracias a la auditoría que está realizando Facebook que la acción se produjo en meses recientes y que la situación se reveló tan pronto como se tuvo detalles listos. Y se concluyó que la mejor solución era eliminar la función, algo con que la gente se tendrá que acostumbrar a lidiar.